8.4 | 1920 avis
8.4 | 1920 avis
0

Une montre GPS dangereuse pour les enfants

Voici ce à quoi tu dois faire attention lorsque tu achètes une montre GPS pour enfant

Les montres GPS pour enfants sont très populaires. Savoir où se trouve l’enfant et rester en contact sont les raisons qui poussent à acheter un tel produit. On lit de plus en plus souvent des articles négatifs sur la sécurité des montres GPS pour enfants. « C’est regrettable, car cela donne une mauvaise image de l’ensemble de cette catégorie de produits. L’utilisation des montres GPS pour enfants est sûre, mais le consommateur doit savoir quels produits sont sûrs », explique Sander de Potter, PDG de Spotter®.

L'université des sciences appliquées de Münster a mené une étude

Plus tôt cette année, l’association de consommateurs a publié une étude sur les montres GPS qui utilisent l’application SE Tracker et qui ne sont donc pas sûres. En avril 2020, l’université des sciences appliquées de Münster, en Allemagne, a mené une étude sur la sécurité des montres GPS pour enfants et l’a publiée dans un rapport intitulé « STALK : Security Analysis of Smartwatches for Kids ». Il en ressort qu’un certain nombre de fabricants vendent des montres GPS pour enfants qui ne sont pas sûres. Dans cet article, on aborde ces failles de sécurité et on explique comment le fournisseur de GPS Spotter® y fait face. Les montres GPS de la marque Spotter® sont totalement sûres et n’utilisent pas les fabricants mentionnés ci-dessous, comme on l’explique plus en détail dans cet article.

Sur quoi porte cette étude ?

Dans le cadre de l’étude « STALK », six montres GPS de différentes marques ont été examinées. Il s’agissait de la StarlianTracker GM11, de la Polywell S12, de la JBC Kleiner Abenteurer, de la Pingonaut Panda2, de l’ANIO4 Touch et de la XPLORA GO. Les fabricants JBC, Polywell, ANIO et Starlian utilisaient pratiquement le même modèle, provenant de la société chinoise d’électronique 3G Electronics qui propose ces montres connectées en marque blanche.

Qu'est-ce qui a été étudié ?

L’étude s’est concentrée sur la communication entre les montres connectées et le serveur du fournisseur, ainsi que sur l’interaction entre l’application smartphone des parents et le serveur du fournisseur. Cette interaction s’effectue via la connexion Internet du smartphone.

Des failles de sécurité ont été découvertes

L’enquête a mis en évidence plusieurs failles de sécurité.

Reprise du backend

    \

  • Sur trois des quatre plateformes backend, il était possible de « falsifier » l’emplacement de la montre GPS. Du coup, les parents peuvent croire que leur enfant se trouve ailleurs qu’il n’en est réellement.

    • \

  • Sur deux des plateformes, il est possible de « falsifier » les messages vocaux envoyés de la montre GPS vers l’application smartphone.

    • \

  • Et une plateforme backend a même pu être entièrement piratée, ce qui a permis de suivre les personnes portant la montre.

Le backend des montres GPS Spotter® ne peut en aucun cas être piraté. L’authentification s’effectue à l’aide d’un identifiant et d’un mot de passe uniques. C’est également le cas sur tous les points d’accès de l’appli. Ces données sont transmises via une connexion SSL sécurisée et ne sont donc pas accessibles.

Communiquer sans cryptage ni authentification

    \

  • Les montres connectées qui utilisent la plateforme 3G communiquent sans cryptage ni authentification avec le serveur qui transmet les informations vers et depuis l’application smartphone des parents.

    • \

  • Le serveur backend s’est également révélé vulnérable aux injections SQL, ce qui permettrait à un pirate d’accéder aux données privées des utilisateurs. Le serveur backend d’ANIO exige que les utilisateurs se connectent. Cependant, une fois connecté, l’utilisateur peut facilement consulter les données d’autres utilisateurs en modifiant son identifiant. Ces identifiants s’avèrent être incrémentiels, ce qui facilite la recherche d’autres utilisateurs.

Chez Spotter :

    \

  • Toutes les communications de Spotter® sont cryptées et autorisées. Une connexion VPN sécurisée est utilisée pour toutes les communications entre le traceur GPS Spotter® et la plateforme (GSM).

    • \

  • Les identifiants d’un autre compte ne peuvent pas non plus être consultés chez Spotter® grâce à la sécurité au niveau du compte sur la plateforme Spotter. Ça veut dire qu’aucune donnée ne peut être consultée si elle ne fait pas partie de ton propre compte client, et l’injection SQL n’est pas non plus possible.

Envoi de données vers des serveurs hors de l’UE

Un autre problème relevé par les chercheurs est que 3G et ANIO envoient les données des utilisateurs de l’UE vers des serveurs situés en dehors de l’UE, sans le mentionner. Les entreprises enfreignent ainsi le RGPD.

Spotter® utilise des serveurs situés au sein de l’UE et respecte ainsi la législation RGPD. De plus, les données ne sont pas mises à la disposition de tiers à des fins commerciales. 

 

Traceurs GPS peu sûrs

D’après le rapport d’étude « STALK : Security Analysis of Smartwatches for Kids », les montres GPS de ces fabricants ne sont pas sûres :

    \

  1. Fabricant 3G Electronics

    2. \

  2. Fabricant Pingonaut Panda2

    3. \

  3. Fabricant ANIO4 TOUCH

    4. \

  4. Fabricant XPLORA Go

\n\n \n\nEn avril 2020, ces fabricants ont été informés des conclusions du rapport d’enquête. Certains problèmes ont été résolus, mais plusieurs failles persistent.

Spotter® propose un traceur GPS sécurisé pour les enfants

Les montres GPS pour enfants de Spotter® sont totalement sûres à utiliser. Les produits portent le marquage CE, ce qui signifie qu’ils répondent aux exigences de sécurité imposées par toutes les directives européennes. De plus, nous appliquons les normes les plus strictes en matière de sécurité des données pour garantir un traitement sécurisé des informations. La confidentialité de l’utilisateur est ainsi pleinement garantie. Pour en savoir plus sur la sécurité et la confidentialité chez Spotter®, clique ici. Sources :FH MÜNSTER University of Applied SciencesConsumentenbond Security.nl